Compromission de l'assureur Shirbit par Black Shadow

Fin novembre 2020, un groupe jusque-là peu connu se faisant appeler Black Shadow a compromis l'assureur israélien Shirbit, puis a orchestré une campagne d'extorsion publique de plusieurs jours qui est devenue l'un des incidents cyber les plus scrutés d'Israël — et un exemple précoce d'attaque portant de forts signaux d'intention alignée sur un État et idéologiquement motivée, plutôt que purement lucrative.

Ce qui s'est passé

Le 30 novembre 2020, Black Shadow a annoncé sur les réseaux sociaux avoir compromis Shirbit et obtenu la base de données clients de l'assureur. Le groupe a commencé à publier des échantillons de documents dérobés — cartes d'identité scannées, passeports, certificats de mariage, documents financiers, fichiers PST de messagerie et enregistrements audio — pour prouver la compromission et faire pression sur l'entreprise.

Les attaquants ont exigé une rançon initiale de 50 bitcoins (environ 950 000 dollars à l'époque), avertissant que le montant doublerait, puis doublerait encore, à chaque échéance manquée. Des messages de négociation ont été divulgués par la suite, les pirates allant jusqu'à dire à Shirbit de « se montrer correct » et de payer.

Conséquences

• Des documents personnels hautement sensibles appartenant aux clients de Shirbit ont été publiés par étapes et proposés à la vente sur une chaîne Telegram, exposant les victimes au vol d'identité et à la fraude.
• Shirbit, qui détenait notamment des contrats d'assurance pour certains agents de l'État, a fait l'objet d'un examen intense quant à savoir si des populations sensibles avaient été exposées.
• L'entreprise a refusé de payer, déclarant qu'elle ne négocierait pas avec des criminels — une décision saluée et critiquée à mesure que davantage de données étaient déversées.

Attribution

Le comportement de Black Shadow — fuites publiques, culpabilisation de la victime, menaces croissantes et apparente volonté de nuire au-delà de la simple monétisation — a conduit les analystes israéliens à évaluer le groupe comme probablement lié à l'Iran, plutôt que comme un gang de rançongiciel classiquement motivé par l'argent. Le même groupe a réapparu en 2021 avec l'attaque très médiatisée contre Cyberserve/Atraf, renforçant cette évaluation.

Pourquoi c'est important

La compromission de Shirbit a constitué un signal d'alarme pour le secteur financier et assurantiel d'Israël et pour les régulateurs du pays. Elle a montré comment un attaquant pouvait instrumentaliser des documents profondément personnels — et pas seulement des numéros de carte — pour infliger un préjudice réputationnel et psychologique, et elle a préfiguré une vague de confrontations cyber Iran-Israël où les données civiles sont devenues un champ de bataille. Les autorités israéliennes des marchés financiers et de la vie privée ont utilisé l'affaire pour pousser les assureurs vers des obligations de sécurité des données renforcées.